Bienvenue.

Slides:



Advertisements
Présentations similaires
Active Directory Windows 2003 Server
Advertisements

Les technologies décisionnelles et le portail
GPO Group Policy Object
Protection du réseau périphérique avec ISA 2004
Préinstallation de Microsoft Office System 2007 en utilisant lOPK (OEM Preinstallation Kit) OEM System Builder Channel.
Gestion des mises à jour de sécurité
Gérer son parc hétérogène depuis MOM et SMS avec QMX de Quest Software Laurent CAYATTE Consultant avant-vente Quest Software.
1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
Reprise à 14H15.
Gestion des mises à jour avec Windows Update Services (ex SUS 2.0) Cyril VOISIN Chef de programme Sécurité Microsoft France.
Botnet, défense en profondeur
Gestion des mises à jour de sécurité avec WSUS ou SMS
Tournée TechNet 2006 sur la conception « Une infrastructure sécurisée bien gérée »
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
1 HPC pour les opérations. Administration Compute Cluster Server.
Personnalisation des sites SharePoint avec SharePoint Designer 2007
Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Administration sous windows … server Stratégies de groupes
Module 13 : Implémentation de la protection contre les sinistres
Active Directory Windows 2003 Server
Eric Vernié - Microsoft Yann Faure - Bewise Etude de cas FMStocks 2000.
Module 1 : Préparation de l'administration d'un serveur
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Centre dabonnement Autodesk Mode demploi ---Vade-mecum Product Support Manager, Southern Europe.
Sommaire Objectif de Peakup Principes de fonctionnement
ECF 5 PRESENTATION « BULLE APPLICATIVE »
Configuration de Windows Server 2008 Active Directory
GESTION DE PARCS D’ORDINATEURS
Citrix® Presentation Server 4.0 : Administration
BitDefender Enterprise Manager. BitDefender Enterprise Manager – protection centralisée pour votre réseau Principales fonctions Fonctions spéciales (WMI)
WINDOWS Les Versions Serveurs
ePolicy Orchestrator de McAfee
Networld+Interop – Novembre 2003
Présentation 1. Consumer/Soho Small BusinessMidsize Business CorporateEnterprise Windows Home Server 1-4 employés 1-4 PCs 1-4 employés 1-4 PCs 5-49 employés.
Module 8 : Maintenance des logiciels à l'aide des services SUS
Module 2 : Préparation de l'analyse des performances du serveur
Module 4 : Maintenance des pilotes de périphériques
Module 3 : Création d'un domaine Windows 2000
Module 1 : Installation de Windows 2000 ou mise à niveau vers Windows 2000.
Module 1 : Installation de Microsoft Windows XP Professionnel
Tout savoir sur la synchronisation des mails, contacts et calendrier sur Windows Phone Lire cette présentation en mode plein écran.
Christophe Dubos Architecte Système Microsoft France Systems Management Server 2003.
Windows Server Update Services (WSUS)
‘‘Open Data base Connectivity‘‘
Mise en oeuvre et exploitation
Nouvelles technologies de système de fichiers dans Microsoft Windows 2000 Salim Shaker Ingénieur de support technique Support technique serveur Microsoft.
Création d’un serveur de mise à jour
Sécurité et confidentialité dans Microsoft Internet Explorer William Keener Développement de contenu Global Service Automation Microsoft Corporation.
Vue d'ensemble Préparation de l'installation
PROJET AssetFrame IT ASSET MANAGEMENT Demo.
Windows 2003 Server Modification du mode de domaine
Journée pratique e-Gouvernement Lausanne, 12 mai 2004 Déploiement et gestion du poste de travail à la Ville de Lausanne Christophe Lambert LAMBERT CONSULTING.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Positionnement : Outil de supervision et d’administration spécialiste Les management packs de l’éditeur et la base de connaissance embarquée Rapidité.
Module 3 : Création d'un domaine Windows 2000
Publication Bulletin de sécurité hors cycle MS Révision Bulletin de sécurité MS
Windows Server Update Services 3.0
En route vers le déploiement . . .
Module 1 : Vue d'ensemble de Microsoft SQL Server
Citrix ® Presentation Server 4.0 : Administration Module 9 : Déploiement d'applications.
Introduction aux outils de supervision
Chapitre 17 Sauvegardes.
Module 2 : Planification de l'installation de SQL Server
Gestion des documents internes avec SQL Server 2005 Date de publication : janvier 2006.
Gérer son parc de postes de travail et serveurs avec System Center Essentials (SCE) 2007.
La solution KoXo Administrator
9 février 2010 Enrique Ruiz Mateos Architecte avant-vente Microsoft
Prévention de désastre et récupération Shadow copies (clichés instantanés) Backup/Restore Advanced Boot Options System Repair.
Installation du PGI – CEGID
Transcription de la présentation:

Bienvenue

Qu’est ce que TechNet ? Un site Web très orienté technique http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable http://www.microsoft.com/france/technet/presentation/flash/default.mspx Des séminaires techniques toute l’année, partout en France http://www.microsoft.com/france/technet/seminaires/seminaires.mspx Des Webcasts accessibles à tout instant http://www.microsoft.com/france/technet/seminaires/webcasts.mspx Un abonnement http://www.microsoft.com/france/technet/presentation/cd/default.mspx

Administration et déploiement des correctifs avec Windows Server Update Services et System Management Server 2003 Animateur

Logistique Vos questions sont les bienvenues. N’hésitez pas ! Pause en milieu de session Feuille d’évaluation à remettre remplie en fin de session Cédérom Merci d’éteindre vos téléphones Commodités

Agenda Partie 1 : Introduction et rappels Partie 2 : Windows Server Update Services (ex WUS, ex SUS 2.0) Partie 3 : SMS 2003 Partie 4 : Synthèse - comparaison de MU/WSUS/SMS

Sommaire Partie 1 : Introduction et rappels Partie 2 : Windows Server Update Services Partie 3 : System Management Servers 2003 Partie 4 : Synthèse - comparaison de MU/WSUS/SMS

Les 3 facettes de la sécurité Technologies Windows 2000/XP/2003 Active Directory Service Packs Correctifs IPSEC Kerberos PKI DFS EFS SSL/TLS Clusters Détection d’intrusion SMS MOM ISA Antivirus GPO Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Microsoft Operations Framework Evaluation de risques Protection Détection Défense Récupération Gestion Architecture sécurisée Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur

Les différents types de correctif

Processus de gestion des correctifs 1. Évaluer l'environnement auquel les correctifs doivent être appliqués A. Créer/tenir à jour des systèmes de référence B. Évaluer l'architecture de gestion des correctifs C. Passer en revue l'infrastructure/ la configuration 2. Identifier de nouveaux correctifs A. Identifier de nouveaux correctifs B. Déterminer la pertinence des correctifs C. Vérifier l'authenticité et l'intégrité des correctifs 1. Analyser 2. Identifier 4. Déployer le correctif A. Distribuer et installer le correctif B. Rédiger un rapport sur l'avancement C. Traiter les exceptions D. Passer en revue le déploiement 3. Évaluer les correctifs et planifier leur déploiement A. Obtenir l'approbation nécessaire pour déployer B. Évaluer les risques C. Tester les correctifs D. Planifier la publication 3. Évaluer et planifier 4. Déployer Le processus de gestion des correctifs en entreprise : méthodes recommandées

Solutions multiples, nombre de produits limité Gestion des correctifs hier Solutions multiples, nombre de produits limité Windows Update/Office Update Solutions Web pour l’utilisateur final Software Update Services (SUS) 1.0 Intermédiaire entre Windows Update et Automatic Updates (contrôle des mises à jour) Microsoft Baseline Security Analyzer (MBSA) 1.2.1 Détecte les mises à jour de sécurité pour 16 produits Détecte les vulnérabilités liées aux configurations pour 7 produits Systems Management Server 2003 SUS Feature Pack (uniquement les mises à jour Windows) MBSA 1.2.1 pour la détection des autres mises à jour de sécurité Enterprise Update Scan Tool (EST) Détecte les mises à jour de sécurité critiques et importantes Compatible avec SMS

Agent unifié, support produits étendus Gestion des correctifs aujourd’hui Agent unifié, support produits étendus Microsoft Update (MU) version “Hosted” de Update Services Solution Web pour l’utilisateur final Windows Server Update Services (WSUS) Infrastructure pour les mises à jour produits et outils Solution évoluée de mises à jour pour la plate forme Microsoft Microsoft Baseline Security Analyzer (MBSA) 2.0 Outil d’analyse sans la nécessité d’un serveur Systems Management Server 2003 Outil d’inventaire pour les mises à jour Microsoft

Sommaire Partie 1 : Introduction et rappels Partie 2 : Windows Server Update Services (ex WUS, ex SUS 2.0) Partie 3 : SMS 2003 Partie 4 : Synthèse - comparaison de MU/WSUS/SMS

Qu’est ce que Update Services? Offre d’entreprise de gestion des mises à jour Obtenir le contenu du service Microsoft Update Composant téléchargeable sur le web (RTW) de Windows Server Pas de coût licences Windows Server (2000 et ultérieur) Nécessite une licence Windows Server / CAL pour les systèmes cibles Ne modifie pas les offres existantes SUS 1.0 continue d’obtenir son contenu de Windows Update (  déc. 2006) Composant principal des solutions de gestion des correctifs et mises à jour Microsoft.

Objectifs et principes de conception Délivrer une solution “simple d’utilisation” totalement fonctionnelle permettant de répondre au besoin de gestion de mises à jour des produits Automatiser le plus possible le processus de mises à jour Supporter plus que les patches Windows Répondre aux demandes des clients utilisant SUS 1.0 A destination de l’administrateur mais aussi de l’IT généraliste Construire l’infrastructure de base “core” pour le patch management de la plate forme Windows Utiliser par d’autres outils ( ie SMS & MBSA) Ensemble complet d’APIs permettant d’étendre et de personnaliser l’application Montée en charge ( à l’image de Microsoft Update)

Vue d’ensemble Microsoft Update Serveur WSUS Groupe 1 cible Postes clients Administrateur WSUS Groupe 2 cible Serveurs Administrateur approuve les mises à jour Agents installent les mises à jour approuvées par l’administrateur Serveur télécharge les mises à jour de Microsoft Update Clients s’enregistrent aux-mêmes avec le serveur Administrateur souscrit aux catégories de mises à jour Administrateur place les clients dans des groupes cibles

Mises à jour supportées Contenu Windows, Office, SQL, Exchange à la RTM Des produits additionnels viendront par la suite Plate-formes OS Client/agent Windows 2000 SP3 et ult., Windows XP RTM et ult. (incl. XP embedded et XP x64) Windows 2003 RTM (32-bit seulement), Windows 2003 SP1 (x64 et ia64) Serveur Windows 2000 SP4 et ultérieur Windows 2003 RTM et ultérieur (32-bit seulement) Localisation Client est localisé en 25 versions Serveur est localisé en 17 versions Support de la MUI Support de la delta compression

Fonctionnalités: contrôle Administrateur défini des groupes cibles Utilisation des stratégies de groupe pour ce faire dans l’environnement AD Au travers de l’interface d’administration de WSUS pour les environnement non AD Administrateur contrôle les approbations “Détection seulement” évaluation des machines qui nécessite l’application d’un patch Approbation pour l’installation et la désinstallation (pas toujours possible) Installation sur date butoir Approbation par groupe cible: Différentes mises à jour vers différents groupes cibles Différentes dates butoirs par groupe cible Différentes actions par groupe cible

Fonctionnalités: Configuration de l’ Agent Configuration flexible de l’Agent Fréquence de polling Notification et type d’installation “Comportement” vis-à-vis du reboot Port configurable Non-administrateurs peuvent installer des mises à jour (comme les administrateurrs) Installation à l’arrêt (XP SP2 et Windows 2003 SP1 seulement)

Fonctionnalités: Optimisation réseau Résilient et transparent BITS* pour téléchargement client-serveur et serveur-serveur Téléchargements se font en fond de tache (background) Téléchargement minimale des mises à jour Suscriptions aux mises à jour – téléchargement des mises à jour pour les produits, classifications et langues que *vous* avez besoin Support de la technologie “delta compression” pour les communications Option client-serveur pour téléchargement uniquement les mises à jour approuvées (download on demand) Option pour télécharger uniquement le catalogue des mises à jour et la détection – binaires sur MU *Background Intelligent Transfer Service

Installation Serveur WSUS Windows Server 2003 (32 bits) IIS6 BITS 2.0 for Windows Server 2003 .NET Framework 1.1 SP1 for Windows Server 2003 Windows 2000 Server SP4 IIS5 BITS 2.0 for Windows 2000 Base de données 100% compatible SQL Server (ex : MSDE 2000) IE 6.0 SP1 .NET Framework 1.1 avec SP1 Client WSUS Agent Windows Update : mise à jour automatique du client Windows Update (= self-update) Windows 2000 SP3 et +, Windows XP et +, Windows 2003 et +

Démonstration : console d’administration

WSUS- Notions fondamentales Client Mises à jour automatiques Groupes cibles Abonnement Approbation de mise à jour Rapports APIs

Automatic Updates (AU) Agent Windows Update Service local (Mises à jour automatiques) automatisant l’accès à WU/MU permettant D’obtenir automatiquement les mises à jour critiques et de sécurité de Windows dont elle a besoin De les installer automatiquement (si le propriétaire de la machine le souhaite) Agent Windows Update Quand on le connecte à Windows Update (ou Microsoft Update) : à destination du grand public et des TPE Quand on le connecte à WSUS, c’est LE client WSUS (à destination des PME principalement) AU est LE client WSUS WU = Windows Update MU = Microsoft Update

Client mise à jour automatiques AutoUpdate Principe : se connecte à Windows Update, Microsoft Update ou un serveur WSUS pour maintenir la machine à jour Config. GPO Par script Mode pull Nouvelle version dans Windows XP SP2 (permet l’installation avant arrêt) Disponible pour Windows Server 2003 Windows 2000 SP3 et + Windows XP* et + Possibilité de mise à jour silencieuse du client à partir du serveur WSUS Possibilité de mise à jour silencieuse de l’agent en version 2.0 à partir du serveur WSUS Configurer les Mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de Mise à jour Microsoft Ciblage (GPO ou pas) Attention : Windows XP sans Service Pack

Pré installation (self-update) Les 2 composants sont dans le SP2 de XP

Configuration des clients Par stratégie de groupe ou par registre Configurer les mises à jour automatiques (AutoUpdate) en spécifiant un serveur intranet de mise à jour Microsoft Modes d’installation : Notifier avant le téléchargement/installation Télécharger puis notifier pour l’ installation Télécharger et installer automatiquement selon la planification Autoriser les administrateurs locaux à choisir le mode de configuration (sans pouvoir désactiver AutoUpdate)

Configuration des clients Fréquence de détection configurable (du client vers le serveur) : 22 heures par défaut; minimum 1 heure (charge sur le serveur) La durée réelle entre deux détections sera déterminée aléatoirement entre 80% et 100% de la durée paramétrée Délai de redémarrage et intervalle avant nouvelle demande de redémarrage (si redémarrage repoussé) Notification pour les non administrateurs (en fonction du mode d’installation) Pas de redémarrage planifié (pour laisser l’utilisateur redémarrer quand il le veut) Re-planifier les installations planifiées (ex : 5 min après redémarrage) Autoriser l’installation immédiate des mises à jour automatiques Ciblage Notifie l’utilisateur si redémarrage nécessaire

Dépannage Vérifier le démarrage du service Vérifier la configuration du client Via l’interface graphique (Propriétés du Poste de travail, onglet Mises à jour automatiques) Si stratégie de groupe, vérifier son application (gpresult) Si rafraîchissement de stratégie de groupe nécessaire : gpupdate /force Regarder Journal des événements %windir%\WindowsUpdate.log %windir%\SoftwareDistribution\ReportingEvents.log Forcer une détection : wuauclt.exe /detectnow Réinitialiser le cookie et forcer une détection : wuauclt.exe /resetauthorization /detectnow

Groupes cibles Utilité : cibler des mises à jour sur des machines spécifiques Groupe cible de test Groupe cible de production Deux types de ciblage Côté serveur L’administrateur WSUS gère l’appartenance aux groupes depuis le site d’administration (listes sur le serveur) Côté client Appartenance gérée automatiquement En utilisant des stratégies de groupe (même groupe pour toutes les machines d’une même UO d’Active Directory) En utilisant le Registre

Abonnements (subscriptions) Permet de choisir quelles mises à jour télécharger et quand Produit / Type de mise à jour (sécurité, SP,FP, pilote, etc…) En fait une mise à jour est composée de deux éléments : Un correctif Les méta données décrivant le correctif Par défaut : seules les méta données sont téléchargées (catalogue) les correctifs sont téléchargés s’ils sont approuvés (contenu) Exemples d’abonnements : Quotidiens pour les mises à jour critiques Hebdomadaires pour les mises à jour recommandées Synchro Manuelle / Automatique

Approbation de mise à jour Vérification avant déploiement (détection) : évalue l’impact d’une mise à jour sur le réseau avant qu’elle ne soit déployée Au niveau de l’approbation d’une mise à jour, choisir l’action Detect Après un cycle de détection des clients, la rubrique Status de la mise à jour indique le nombre de machines qui nécessitent la mise à jour Installation lors de la prochaine date planifiée Installation avec date butoir Désinstallation (nécessite que la mise à jour le supporte)

Approbation automatique ? Par défaut, « détection » automatique pour Les mises à jour critiques et de sécurité Tous les groupes cibles Par défaut, aucune approbation automatique pour l’installation On pourrait choisir des types de mises à jour, et des groupes cibles En cas de révision d’une mise à jour, la nouvelle version obtient le même niveau d’approbation que l’ancienne (désactivable pour effectuer un choix manuel)

Rapports Rapport standard consolidé (activités clients) Par machine / par mise à jour / par groupe cible Succès et échecs des téléchargements et installations avec les détails sur les erreurs Rapport sur les synchros Nouveautés, changements

Démonstration : état et rapports

Installation avec date butoir

Installation à l’arrêt (XP SP2) Profiter de l’arrêt de la machine pour la maintenir à jour Contrôler par stratégie de groupe

APIs publiques A la fois le client et le serveur expose des APIs publiques APIs serveur basées sur .NET (pour les taches d’administration) APIs client basées sur COM scriptable Exemples de scripts et de code dans le SDK WSUS

API coté Serveur Très fonctionnelle API .Net API permet l’accès à un ensemble (superset) des taches de l’UI Configuration du serveur WSUS Approbation des mises à jour Updates Ajout/suppression des groupes cibles Ajout/suppression des clients dans le groupe cible Création de rapports personnalisés Toute l’UI utilise les API publiques “The bad news” Non exposé comme une interface COM Pas du support distant – doit être appelée localement

API coté Client APIs publiques, implémentées comme “wrappers” autours de l’Agent WU et des fonctionnalités de Mises à jour automatique (exposée au travers de COM et scriptable) Class Description AutomaticUpdates A class that exposes the settings of Automatic Updates and some functionality UpdateCollection A class representing an ordered list of Updates UpdateDownloader A class that downloads updates from the server UpdateInstaller A class that (un)installs updates from or onto the computer UpdateSearcher A class that searches for updates on the server SearchResult A class that represents the result of a search Update A class that exposes properties and methods available to an update

Exemple de scripts Dim update, i set AutoUpdate = CreateObject("Microsoft.Update.AutoUpdate") Autoupdate.DetectNow() set UpdateSession = CreateObject("Microsoft.Update.Session") set UpdateSearcher = UpdateSession.CreateUpdateSearcher() set SearchResult= UpdateSearcher.Search("") set Updates = SearchResult.Updates set UpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl") For i = 0 to (Updates.Count-1) UpdatesToInstall.Add(Updates.Item(i)) Next set Installer = UpdateSession.CreateUpdateInstaller() Installer.Updates = UpdatesToInstall set InstallationResult = Installer.Install() Détection Approbation Installation

Flexibilité déploiement/Management Serveur APIs basées .NET Règles simple pour automatiser le déploiement des mises à jour sans UI Client Ligne de commande wuauclt.exe /detectnow pour la détection APIs basées sur COM pour les scripts et le support distant Paramètres du client AU via stratégie de groupe ou scripts

Démonstration : distribution d’un correctif

Notions complémentaires Communications Options de déploiement des serveurs WSUS Stockage Sécurité Flexibilité

Communications (1/2) Configuration des paramètres de proxy

Communications (2/2) Faible utilisation de la bande passante BITS (Backgound Intelligent Transfert Service) pour les téléchargements client serveur et serveur-serveur Mise à jour par “abonnement” (par produit/par type) Support des technologies “delta compression” Téléchargement dissocié des correctifs et de leurs méta données

Options de déploiement des serveurs Déploiement hiérarchique Serveurs indépendants Serveurs non connectés à Internet

Hiérarchie Attention : il est conseillé de ne pas dépasser 3 niveaux dans la hiérarchie pour des questions de latence de propagation des mises à jour Mode replica (miroir) ou pas, se définit à l’installation seulement !!

Déploiement simple

Déploiement de réplica

Déploiement en agence

Serveurs non connectés Microsoft Update Serveur WSUS Serveur WSUS Importation et exportation manuelles Postes de travail Clients

Stockage Base de données pour gérer tout ce qui n’est pas contenu Prise en compte des dépendances entre les mises à jour WMSDE/MSDE vs SQL Server MSDE a une limite de 2Go, pas WMSDE (uniqt sur Windows 2003) Mises à jour hébergées sur Microsoft Update (WSUS sert alors seulement de point de contrôle) ou en local Filtrage de contenu Ne garder que les plateformes et langues dont vous avez besoin Dimensionnement Prévoir une croissance annuelle * nombre de langues

Sécurité, flexibilité Sur le client et sur le serveur Vérification de signature des contenus téléchargés Permissions sur les contenus téléchargés Changement des ports Sauf pour contacter MU Port utilisé : 80 ou 8530 (attention, dans ce cas pour mettre à jour de « vieux » clients, il faut maintenir un site sur le port 80) Infrastructure et plateforme Option en ligne de commande pour déclencher une détection côté client : wuauclt.exe /detectnow API du client en COM exécutables à distance et scriptables API du serveur basées sur .Net Framework

Connexion à Microsoft Update Ouverture du pare-feu HTTP 80 et HTTPS 443 pour joindre les serveurs Microsoft sur le Web Liste des domaines : · http://windowsupdate.microsoft.com · http://*.windowsupdate.microsoft.com · https://*.windowsupdate.microsoft.com · http://*.update.microsoft.com · https://*.update.microsoft.com · http://*.windowsupdate.com · http://download.windowsupdate.com · http://download.microsoft.com · http://*.download.windowsupdate.com · http://wustat.windows.com · http://ntservicepack.microsoft.com

Filtrage d’URLs (ISA ou URLScan) Si vous l’utilisez, il faut : autoriser les extensions de type .exe (les enlever de la section [DenyExtensions] Autoriser dans [AllowVerbs] GET HEAD POST OPTIONS

Dimensionnement du serveur WSUS Jusqu’à 500 clients Minimum Recommandé Processeur 750 MHz 1 GHz ou + RAM 512 Mo 1 Go Base de données MSDE MSDE/WMSDE De 500 à 15 000 clients Minimum Recommandé Processeur 1 GHz ou + Biprocesseurs à 3 GHz ou + (2 processeurs pour plus de 10 000 clients) RAM 1 Go 1 GB Base de données WMSDE / SQL Server 2000 SP3a et +

Migration de SUS vers WSUS Pas de mise à jour mais une migration des mises à jour et des approbations (et c’est tout) Migration sur même serveur Migration vers nouveau serveur WSUSutil.exe SUS1 et WSUS peuvent cohabiter sur un même serveur

Limites de la migration WSUS et SUS 1.0 ne peuvent pas synchroniser leurs méta données l’un avec l’autre Pas de migration des paramètres de proxy Pas de migration des paramètres d’IIS Migration unidirectionnelle de SUS 1.0 vers WSUS La migration des approbations de mises à jour écrase les approbations existantes d’un groupe d’ordinateurs

Migration avec un seul serveur Pour économiser le nombre de serveurs Nécessite d’installer WSUS sur un port différent de SUS 1.0 Nécessite la mise à jour des clients au fur et à mesure qu’ils se connectent au serveur WSUS Redirection des clients vers un port différent du même serveur Les clients utilisent toujours SUS 1.0 pour les mises à jour jusqu’à ce qu’ils soient redirigés vers le port de WSUS, ou que SUS 1.0 soit retiré The same-server migration procedure is a three-step process, with two optional steps for testing and consolidating. Step 1: Install and Configure WSUS: When installing WSUS on a computer that has SUS installed, you must install WSUS by using a custom port. You must synchronize the WSUS server prior to migrating. Consider using the synchronization option for deferred downloads, which is enabled by default. Also, configure WSUS to download updates for the same number of languages that SUS was configured to download updates. By default WSUS is configured to download all languages. These configurations ensure that you do not unnecessarily download updates already on your network or in languages that you do not require. Step 2: Migrate Content and Approvals: You do not have to migrate both content and approvals from the SUS server. You can opt to initially migrate content and then migrate approvals at another time, or any number of combinations that suit your purpose. You do have to make sure that SUS is not synchronizing before you migrate content or approvals. Use WSUSutil.exe to migrate content and approvals from SUS to WSUS. Step 3: Test WSUS (Optional): Using local Group policy direct a client (or couple of clients) to the WSUS server on the 8530 port. Create deployments to the client to validate any specific scenarios like targeting or deadline times. Step 4: Move WSUS to Port 80 : Decommission the SUS server, and change the WSUS Web site from the custom port to port 80. As the SUS clients check in with the WSUS server, they will find the WSUS Web site and self-update to the Automatic Updates client compatible with WSUS. Note that you do not need to make any changes to Group Policy to get the SUS clients to self-update. If you prefer to leave your patching solution on a port other than port 80, you can leave WSUS on the custom 8530 port and change the client policy to point to this port on your WSUS server. You’ll still need to leave a selfupdate virtual directory on port 80 to allow pre-WSUS compatible clients to get updated to the WSUS compatible client. If you change the port number after installing WSUS, you have to create a new shortcut on your Start menu with the new URL to access the WSUS console from the Start menu. See Help and Support for instruction on creating shortcuts.

Considérations de déploiement Besoins matériels Nombre de clients, fréquence de polling du client vers le serveur Base de données et stockage SQL Locale ou distante versus MSDE /WMSDE Bande passante Site unique, multi-sites, « branch office », bande passante faible (low) Sécurité Personnalisation des ports de communication Scalabilité Hiérarchie Serveur Options des cibles Mode Client versus Serveur Management Automatisation par scripts versus interface d’administration Web

Démonstration : Migration SUS vers WSUS

Agenda Partie 1 : Introduction et rappels Partie 2 : Windows Server Update Services Partie 3 : SMS 2003 Partie 4 : Synthèse - comparaison de MU/WSUS/SMS

Gestion des ressources matérielles et logicielles Fonctionnalités Gestion des ressources matérielles et logicielles PPC 2003 64 MB ARM 300 MHz Windows XP SP1 256 MB P IV 1 GHz Windows 2000 128 MB P III 700 MHz Windows NT 4 SP6 P III 350 MHz OS RAM CPU Découverte Inventaire Reporting Gestion du cycle de vie des applications et des correctifs de sécurité Packaging Distribution Installation Suivi utilisation Téléassistance

SMS 2003 et correctifs de sécurité S’appuie sur l’infrastructure SMS existante pour déployer les outils d’analyse sur l’ensemble des machines Exécute automatiquement une tâche récurrente permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine Ces informations sont collectées par les mécanismes standard d’inventaire et transmises dans le référentiel SMS Génère des rapports pour analyser ces informations Les mises à jour nécessaires sont automatiquement envoyés aux postes clients en utilisant les mécanismes standard SMS

SMS 2003 et correctifs de sécurité Architecture Microsoft Download Center Téléchargement et installation des outils d’analyse sur le serveur de site Téléchargement régulier du référentiel (MSSECURE.XML,WSUScan.cab…) Internet Intranet Inventaire des clients et intégration avec les données d’inventaire matériel SMS Utilisation de l’assistant de distribution des mises à jour logicielles pour déclencher l’installation des mises à jour sélectionnées Point de distribution SMS Clients SMS Téléchargement des fichiers; création/mise à jour des packages, programmes & annonces; réplication des packages & publication des programmes vers les clients SMS Point de distribution SMS Installation des mises à jour par l’agent SMS De manière périodique: le module de synchronisation vérifie la publication de nouvelles mises à jour et analyse les clients Clients SMS Clients SMS

SMS 2003 et correctifs de sécurité Composants (disponibles sur le Web en téléchargement) Systems Management Server 2003 Software Update Scanning Tools Outil d’inventaire pour les mises à jour de la sécurité (Security Update Inventory Tool) Outil d’inventaire pour les mises à jour Microsoft Office (Office Update Inventory Tool) SMS Extended Security Update Inventory Tool Outil d’inventaire pour les mises à jour Microsoft (SMS Inventory Tool for Microsoft Updates)

Outils d’inventaire des mises à jour Permettent de créer dans SMS les lots permettant de : Télécharger automatiquement la liste des correctifs de sécurité D’installer et exécuter, à intervalles de temps réguliers, l’outil d’analyse sur les postes clients (permettant de déterminer quelles sont les mises à jour nécessaires pour chaque machine) Enrichissent l’inventaire avec Numéro du bulletin de sécurité, numéro de l’article technique, titre, … Etat (Installé, Applicable) L’URL du site où peut être obtenue la mise à jour S’intègrent avec le module de reporting Création de rapports permettant d’analyser les informations d’inventaire

Outil d’inventaire des mises à jour de la sécurité Toute mise à jour détectée par MBSACLI 1.2 peut être distribuée Prise en charge des mises à jour de Windows (critiques, non-critiques et Service Packs) IE, MDAC, IIS SQL Server, Exchange Server, Biztalk… Support des clients Windows 2003, XP, 2000 et de NT 4.0 Liste des exceptions: Microsoft Baseline Security Analyzer (MBSA) returns note messages for some updates http://support.microsoft.com/default.aspx?scid=kb;en-us;306460

Outil d’inventaire des mises à jour de la sécurité

Outil d’inventaire des mises à jour Microsoft Office Déterminer quels sont les correctifs applicables Office 2000 Office XP Office 2003

SMS Extended Security Update Inventory Tool Outil de détection des mises à jour de sécurité pour certains bulletins qui ne peuvent pas être détectés par MBSA ou ODT http://support.microsoft.com/?kbid=894192 http://support.microsoft.com/default.aspx?scid=kb;fr;894193 L’outil dans sa version 4.2 (10/11/2005) prend en charge : MS04-028, MS05-004, MS05-006, MS05-009, MS05-022, MS05-029, MS05-030, MS05-031, MS05-033, MS05-034, MS05-044, MS05-050 http://www.microsoft.com/downloads/details.aspx?FamilyId=2C93DA1D-48A0-4E5C-991F-87E08954F61B&displaylang=en

Outil d’inventaire pour les mises à jour Microsoft Nouvel outil d’analyse pour les sites SMS 2003 SP1 et les clients avancés En règle général, c’est un remplacement des outils d’inventaire des mises à jours actuellement disponibles MBSA et Office Dans certains cas, les outils ancienne génération devront être conservés Outil d’inventaire pour les mises à jour Microsoft (ITMU) prends en charge à la fois les mises à jour pour les systèmes d’exploitation et les applications Microsoft Windows XP Embedded / Microsoft Windows X64 Edition / Microsoft Office XP and Office 2003 / Microsoft Exchange 2000 et 2003 / Microsoft Windows 2000 Service Pack 4 et + / MSXML, MDAC, et Microsoft Virtual Machine / Microsoft SQL Server 2000 SP4 et SQL Server 2005 SMS 2003 SP1 uses the Inventory Tool for Microsoft Updates (ITMU) to determine the update compliance of managed systems. This tool provides integration with updates offered by Windows Update and Microsoft Update. The tool shares the same security update, update rollup, and service pack data as offered by Microsoft Windows Server Update Services (WSUS). This inventory tool can be used only within an SMS 2003 SP1 site hierarchy with certain hotfixes applied. SMS 2003 SP1 is updated to incorporate WSUS technology for scanning and deployment. ITMU currently uses Windows Update Agent version 5.8, which improves security update detection with support for the following products: •Microsoft Windows XP Embedded•Microsoft Windows 64-bit edition (based on Windows Server 2003 SP1 code)•Microsoft Office XP and Office 2003•Microsoft Exchange 2000 and Exchange 2003•Microsoft Windows 2000 Service Pack 4 and later•All Windows components (such as MSXML, MDAC, and Microsoft Virtual Machine)•Microsoft SQL Server 2000 SP4 and SQL Server 2005•Additional products as published to the Windows Updates catalogITMU includes the following components: •Scan tool for Microsoft updates. Enables you to scan your Windows desktops and servers for installed and missing Microsoft updates similarly to how Microsoft Baseline Security Analyzer (MBSA) determines compliance for Microsoft security updates.•Synchronization of the Windows Updates Catalog. Downloads the WSUS scan catalog on a recurring schedule.•The latest Windows Update Agent. The Windows Update Agent version 5.8.0.2469 is installed on the Windows operating system to support Windows Update detection and deployment.•New SMS Advanced Client release and updated Distribute Software Update Wizard.

Outil d’inventaire pour les mises à jour Microsoft « ITMU » s’appuie sur l’agent Windows Update pour l’analyse des mises à jour Outil d’analyse « standalone » – ne nécessite pas de serveur WSUS ou de connectivité Internet Agent Windows Update 2.0 est natif à partir de Windows Server 2003 SP1 Distribué comme un package par SMS pour les autres OS En respect avec Microsoft Update pour les mises à jours critiques, les rollups et les service packs

Mise en oeuvre ITMU Site SMS : Client avancé : Requiert SMS 2003 SP1 Correctifs à installés dans l’ordre (KB 900257, 900401 et 901034*) Création package, programmes, publications et regroupements Client avancé : SMS 2003 SP1 Windows 2000 SP3 et + , MSXML 3.0 Windows Installer 3.1v2 (msi) Mises à jour du client avancé (correctif 901034) Installation de l’agent Windows Update 2.0 (5.8.0.2469) http://www.microsoft.com/smserver/downloads/2003/tools/ msupdates_required.mspx * ou 899512 et 892044

Améliorations ITMU Standardisation des outils (utilisation de l’agent Windows Update 2.0) Plus de gestion de la ligne de commande pour la distribution des correctifs Rapports plus complets 19 rapports

Comparaison des outils de mises à jour de correctifs Le moteur de détection d’ITMU s’appuie sur l’agent Windows Updates Les technologies suivantes s’appuient sur l’agent Windows® Update Microsoft Update, MBSA 2.0, and Windows Server™ Update Services Toutes les solutions de mises à jours doivent donner des résultats cohérents entre elles.

Comparaison des outils d’inventaire de mises à jour pour SMS ITMU supporte Security updates, service packs, et rollups pour Windows 2000 SP4 et + MBSA supporte critical security updates et service packs pour Windows NT® 4.0 et + ITMU supporte Office XP et + pour les mises à jour de sécurité et les service packs Mises à jour pour Microsoft Office supporte Office 2000 et + pour mises à jour de sécurité et les service pack ITMU supporte SQL Server 2000 SP4 et+ MBSA supporte SQL Server 7.0 et + ITMU utilise le catalogue WSUS (WSUSScan.cab) qui inclut toutes les langues Le catalogue MBSA (MSSecure.cab) est spécifique à chaque langue de l’OS Besoin de déployer MSSecure.cab pour chaque langue de l’OS client

Assistant de distribution des mises à jour logicielles Objectif : Automatiser le déploiement des mises à jour manquantes sur les postes clients Fonctionnement S’appuie sur l’inventaire remonté par les outils d’inventaire Il est aussi possible de déployer des mises à jour directement avec le SP1 Recherche des correctifs manquants, sélection des correctifs Téléchargement des correctifs depuis Microsoft.com Création automatique du Lot de l’Annonce et du Programme

Assistant de distribution des mises à jour logicielles Fonctionnalités Un assistant intégré à la sécurité et à la console d’administration de SMS permettant de : Visualiser les mises à jour nécessaires et gérer les priorités Récupérer et autoriser les mises à jour Tester les mises à jour en environnement pilote Définir le contenu des lots Contrôler l’expérience et les scénarios utilisateurs Pour ITMU, nécessite le hotfix 900257

Assistant de distribution des mises à jour logicielles Fonctionnalités Comment récupérer les versions internationales du catalogue Modifier le fichier Download.ini pour y ajouter une section [Download2] XMLCABURL=http://go.microsoft.com/fwlink/?LinkId=26835 XMLCABDEST=1036 Pour plus d’information se reporter à l’adresse support.microsoft.com/default.aspx?scid=kb;EN-US;838403 Comment utiliser un Proxy nécessitant une authentification Utiliser PatchDownloader.exe /s:" "Server[:port] /U:<UserName as Domain\UserName>

Assistant de distribution des mises à jour logicielles The following slides highlight some key screens from the Patch Deployment Wizard. Note, not every screen is shown.

SMS 2003 et correctifs de sécurité Installation des mises à jour Utilisation privilégiée des zones de notification et des ballons Des détails supplémentaires sont disponibles pour les utilisateurs intéressés Possibilité d’utiliser des textes et graphiques spécifiques afin de mettre en exergue certaines mises à jour Support des installations en mode automatique ou silencieux Politique d’installation souple variant entre « installation obligatoire et immédiate » et « installation facultative » Détermination automatique du nombre optimum de démarrages

SMS 2003 et correctifs de sécurité Interface cliente

SMS 2003 et correctifs de sécurité Conformité du parc

Sommaire Partie 1 : Introduction et rappels Partie 2 : Windows Server Update Services Partie 3 : SMS 2003 Partie 4 : Synthèse - comparaison de MU/WSUS/SMS

Microsoft Update Catalog Detection et mise à jour du contenu Windows 2000+ Office XP+ Exchange 2000+ SQL 2000 SP4+ PME Client final Grande Enterprise TPE MBSA 2.0 WSUS SMS Automatic Updates & MU Website Infrastructure Detection et Installation Windows Update Agent

Choisir une solution de gestion des correctifs Client Scénario Choix Grande ou moyenne entreprise Besoin d'une solution unique et flexible de gestion des mises à jour avec un niveau élevé de contrôle et de distribution pour TOUTES les versions de Windows et d'applications, ainsi qu'une solution de gestion du parc intégré SMS 2003 Besoin seulement d'une solution de mise à jour simple pour les produits Microsoft, et dans un premier temps Windows (2000 et ultérieur), Office (2003 & XP), Exchange 2003, SQL Server 2000 et MSDE 2000 WSUS* Petite entreprise Au moins un serveur et un administrateur Tous les autres scénarios Microsoft Update* Consommateur Tous les scénarios   *utilisation de Windows Update, d'un autre outil de mise à jour ou mise à jour manuelle pour les systèmes et applications non supportés par WSUS ou Microsoft Update

Comparaison de MU, WSUS et SMS 2003 Capacité Microsoft Update WSUS SMS 2003 Logiciels et contenus supportés Logiciels supportés pour le contenu Pareil que WSUS + WinXP édition familiale Win2K, WS2003, WinXP Pro, Office 2003, Office XP, Exchange 2003, SQL Server 2000, MSDE Idem WSUS + NT 4.0 & Win98 + peut mettre à jour n’importe quel logiciel fonctionnant sur Windows Types de contenu supportés Toutes les mises à jour de logiciels, mises à jour critiques de pilotes, Service Packs & Feature Packs Toutes les mises à jour de logiciels, Service Packs & Feature Packs + support la mise à jour et l’installation d’appli Windows Capacités de gestion des mises à jour Ciblage de contenu à certains systèmes N/A Simple Avancé Optimisation de la bande passante réseau Oui Contrôle de la distribution des correctifs Installation de correctif & flexibilité de la planification Manuelle & contrôlée par l’utilisateur final Rapport sur les installations de correctifs Erreurs d’installation rapportées à l’utilisateur. Liste les mises à jour manquantes pour la machine connectée Planification du déploiement Gestion de l’inventaire Non Vérification de conformité Non – rapport de statut seulement 98 en temps que client SMS

Ressources utiles Site sécurité : http://www.microsoft.com/france/securite Gestion des mises à jour de sécurité : http://www.microsoft.com/france/technet/securite/gestionmaj/default.asp Site WSUS (en anglais) : http://www.microsoft.com/wsus Newsgroup : microsoft.public.fr.update_services Site SMS : http://www.microsoft.com/france/sysmans/default.mspx Gestion des correctifs de sécurité avec SMS : http://www.microsoft.com/france/sysmans/decouvrez/patch.mspx MBSA 2.0 http://www.microsoft.com/technet/security/tools/mbsa2/default.mspx

Questions / Réponses